Windows Defender meldet (fälschlich) Behaviour:Win32/Hive.ZY (4.9.2022)

Windows[English]Kurzer Hinweis für Windows-Nutzer, die am Sonntag (4.9.2022, ca. 12:00 Uhr deutscher Zeit) vom Microsoft Defender mit einem Virenfund auf ihrem System aufgeschreckt werden. Seit wenigen Stunden meldet der Microsoft Virenscanner einen Behaviour:Win32/Hive.ZY als Fund. Das ist aber wohl ein falscher Alarm – könnte auf den Microsoft Edge zurückzuführen sein – und trendet momentan in Foren. Ergänzung: Das Problem ist per Update gefixt worden.


Anzeige

Lesermeldungen zu Behaviour:Win32/Hive.ZY

Bei mir hat sich einmal Martin per E-Mail gemeldet und über den Fund des Microsoft Defender auf seinem Windows 10-System berichtet. Martin schrieb dazu:

Windows Defender false-positive / Behaviour:Win32/Hive.ZY

Hallo Günter,

ich habe grad einen ordentlichen Schreck bekommen, als der Windows Defender auf meinem Windows 10 Laptop urplötzlich folgenden Fehler schmeißt:

Behaviour:Win32/Hive.ZY

Es wird kein Programm angegeben, nur eine PID – und der Prozess wird dummerweise sofort beendet, so dass ich "blind" war und nicht sehen konnte, was da der Verursacher war. Dabei hatte ich keinerlei neue Software in den letzten Tagen installiert und auch keine verdächtigen Mails etc. geöffnet.

Die Meldung erschien fortan periodisch, aber nicht zu festen Zeiten. Ich habe mehrmals mit Windows Defender gescannt, der aber nichts fand – und dann kam die Meldung plötzlich wieder. Ganz merkwürdig.

[…] Ich habe aktuell folgende Definitionen 1.373.1508.0 und kann die Meldung reproduzieren, jedes mal wenn ich Chrome starte.

Wollte dir das nur mal schnell zurufen, falls du was darüber in deinem Blog schreiben magst oder ggf. bereits selbst einen Schreck ob einer möglichen Infektion bekommen hast ;-)

Nachfolgender Screenshot zeigt die betreffenden Einträge im Schutzverlauf – jemand hat das hier bei Dr. Windows im Forum gepostet.
Defender: Behaviour:Win32/Hive.ZY
Defender Fehlalarm

Und Blog-Leser Christoph Gierl berichtet in diesem Kommentar von einem ähnlichen Szenario, dort aber auf den Microsoft Edge bezogen.

Hallo,
scheinbar läuft der Defender mal wieder Amok.
Er hat jetzt schon dreimal "Behavior:Win32/Hive.ZY" auf meinem PC gefunden; als ich Edge öffnen wollte wohlgemerkt. Ist gerade ein "trending topic" in diversen Foren. Ist ein bisschen Off-topic, aber es ist ja auch der Edge betroffen.

Grüße,

Chris

Danke an die beiden Leser für den Hinweis – am Grill hat es keinen Virenalarm gegeben – aber ich habe mal kurz unterbrochen, um die Zeilen im Blog einzustellen.


Anzeige

Auch in anderen Foren wird das thematisiert. Bei Microsoft Answers gibt es diesen Thread, wo auch Apps mit dem Electron-Framework, wie WhatsApp, Discord, Spotify etc., genannt werden, bei denen der Defender einen falschen Alarm auslöst. Dort schreibt ein Moderator, dass der falsche Alarm offenbar durch das Security Intelligence Update für Microsoft Defender Antivirus – KB2267602 (Version 1.373.1508.0) verursacht wird. Bei ComputerBase finden sich ebenfalls Einträge wie hier. Inzwischen trended das Thema weltweit in Foren. Und die Zahl der Programme, die bemängelt werden, steigt ständig – ich habe sogar Meldungen lesen, dass die Windows Einstellungsseite beim Aufruf den Alarm auslöst.

Ein falscher Alarm

Blog-Leser Martin wies in seiner Mail bereits auf diesen Thread bei reddit.com hin, wo dieser Sachverhalt ebenfalls diskutiert wird.

All Electron-based apps and Chrome detected as `Behavior:Win32/Hive.ZY` on open as of today.

Google yields no results.

What is going on?!

Dort werden bereits weitere Informationen geliefert. Es ist nicht nur jeder Chromium-basierende Browser (wie Google Chrome und Microsoft Edge) betroffen, sondern auch alle Apps und Anwendungen, die afu dem Electron-Framework aufsetzen. Ein weiterer reddit.com-Thread findet sich hier. Es scheint also ein false-positive vom Windows Defender zu sein.

Hinweis: Laut log-Datei wurde Behavior:Win32/Hive.ZY von Microsoft zur Defender-Version 1.373.1508.0 hinzugefügt.

Ergänzung: Lawrence Abrams von Bleeping Computer hat das Ganze inzwischen hier zusammen gefasst, nachdem ich ihn auf das Thema hingewiesen hatte.

Warten auf eine Korrektur

Im Internet gibt es inzwischen eine breite Spur an Meldungen zu unterschiedlichen Programmen, die diesen "Fund" triggern (selbst VScode war schon dabei). Komischerweise sind nicht alle Windows-Nutzer betroffen. Eine Möglichkeit zum Vermeiden der Alarme besteht darin, temporär eine Ausnahme für das aufgerufene Programm im Defender zu vereinbaren.

Ansonsten bleibt nur, auf ein Update von Microsoft zu warten, welches den Fehlalarm behebt. Bisherige Signatur-Updates scheinen aber nicht bei allen Nutzern gewirkt zu haben – wobei man nach einem Update Windows vorsorglich neu starten sollte. Vielleicht prüfen, ob die Signatur-Datei 1.373.1524.0 Abhilfe bringt.

Ergänzung: Das Problem ist per Update gefixt worden, siehe Microsoft fixt Windows Defender Fehlalarm Behaviour:Win32/Hive.ZY.

 


Anzeige

Dieser Beitrag wurde unter Sicherheit, Virenschutz, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

24 Antworten zu Windows Defender meldet (fälschlich) Behaviour:Win32/Hive.ZY (4.9.2022)

  1. Phil sagt:

    Hi,

    selbes Problem. Habe dazu seit vermutlich gestern massive Probleme mit meiner Internetverbindung. Das WiFi fällt ständig aus und verbindet sich wieder, wahrscheinlich, weil Defender versucht, den Prozess an einer Verbindung zu hindern.

  2. Musik sagt:

    Der Computer müllt mich mit Behavior:Win32/Hive.ZY fehler meldungen zu und strürst ab!!!!!!!!!!!!!!!! Hilfe!!!!!!!!!!!!!!!!!!!!!

  3. Frederic sagt:

    Bei mir auch. Prozess ist msedge.exe

  4. Wolf sagt:

    Habe dasselbe Problem. Wie were ich s los, ohne in die Innereien von Windows einzusteigen?

  5. Hartmut Vohrer sagt:

    Am 04.09.2022 Defenderupdate 10:40 Uhr Installation erfolgreich: Das folgende Update wurde installiert.
    Security Intelligence-Update für Microsoft Defender Antivirus – KB2267602 (Version 1.373.1508.0)
    Danach im halbstundentakt Bedrohungsmeldung Behavior:Win32/Hive.ZY wenn
    Microsoft Edge Version 105.0.1343.27 (Offizielles Build) (64-Bit) geöffnet wird, dasselbe beim Schließen desselben.
    In meinen Augen Fehler seitens Microsoft. Habe dann gedacht nicht ärgern – guck zuerst mal bei G.Born ob´s schon was diesbezüglich gibt, und siehe da , im Blog gab's die entsprechenden Hinweise. Mal sehen wie lange Microsoft uns mit diesem Fehler beglückt/quält, bis er wieder abgestellt wird.
    Schönen Sonntag noch
    Grüsse Hartmut Vohrer

    • Hilti sagt:

      Bei mir öffnet sich der Edge gar nicht mehr, es kommt sofort die Meldung.
      Vor wenigen Minuten gab es ein security intelligence update,
      das aber keine Besserung gebracht hat.

  6. Martin sagt:

    Auch mit den inzwischen mehrfach aktualisierten Windows Defender Definitionen – bei mir ist jetzt Version 1.373.1524.0 installiert (Build date: 04.09.22 13:23) – tritt der Fehler nach wie vor auf.

    Ich kann die Meldung triggern, indem ich Chrome starte oder den Acrobat Reader DC starte (der scheint also auch einen Teil des zu Chromium gehörigen Webkits zu beinhalten).

    • Thorky sagt:

      Version 1.373.1530.0 (Builddate 04.09.2022 15.53 Uhr)

      Alles in Ordnung, kein Mucks beim Start des Edgebrowsers. Die anderen angesprochenen Apps habe ich allerdings nicht auf dem PC.

  7. Stefan sagt:

    Ja, der Alarm geht sofort los, sobald ich Opera öffne, sprich während des Startvorgangs noch bevor sich das Opera-Fenster geöffnet hat, zeigt Defender die Meldung an.

  8. Matze sagt:

    Hätte ich gar nicht bemerkt, wenn ich hier nicht rein geschaut hätte.
    Ich habe zwar Edge und Chrome (früher auch mal Brave) installiert, starte die aber nur, wenn ein Update angekündigt ist, um sie aktuell zu halten – man kann ja nie wissen.

    Einfache Lösung: Firefox benutzen (ja, ich weiß, in Firmen gibt's halt Vorgaben).

    • My2cents sagt:

      Ich habe schon fast die Befürchtung das jemand ein externes java packet gekapert hat, welches in vielen anwendungen und webseiten mitgeladen wird und das dann den fehler auslöst.
      In dem Fall ist es kein Fehlalarm.

  9. Perma sagt:

    Nur "Microsoft Edge" und "Microsoft Edge WebView2-Laufzeit" Updates in letzter Zeit(heute) und seit eben auch erst Defender Meldungen, ununterbrochen…

  10. Georg sagt:

    Workaround, bis Microsoft die Signaturen in Ordnung bringt: Firefox installieren…

  11. Martin sagt:

    Jein – ich nutze auch primär Firefox, die Meldung erscheint aber trotzdem in unregelmäßigen Abständen; ich hab zusätzlich Chrome installiert und vermute, dass irgendein Updatecheck im Hintergrund läuft. Außerdem tritt die Meldung bei mir wie gesagt auch beim Start von Acrobat Reader auf.

    Ich hoffe, Microsoft bessert da bis morgen früh nach, ansonsten dürfte es ein lustiger Tag in vielen IT-Support-Abteilungen werden…

  12. Nico sagt:

    selbe Problem, hinzu habe ich bemerkt, wie ohne meine Zustimmung 2 Edge Programme auf meinen PC installiert wurden. Eines konnte ich deinstallieren, Edge selbst nicht. Mist

  13. Dorian sagt:

    Kleiner Vorgeschmack auf einen echten "IT Blackout" durch irgendein Update, nach dem dann gar nichts mehr geht.

    Gelegenheit zum Nachdenken, wie/ob man dafür vorbereitet wäre, wenn Windows einfach gar nicht mehr hochfährt.

  14. 1ST1 sagt:

    Bei mir hat Defender inzwischen das Signaturupdate 1.373.1530.0 was um 15:53 erstellt wurde, wurde eben gerade hereinsyncronisiert. Vorher hatte ich eins erstellt um 10:53 (das war alles was ich mir auf die schnelle merken konnte, bevor die Anzeige aktualisiert wurde, mein Zahlengedächtnis ist Null…), aber ich habe den Effekt nicht bemerkt, liegt wohl daran, dass ich eigentlich ständig alle Programme offen habe, ich ich über den Tag benutze, und nur ca. 1x im Monat reboote…

  15. Tom sagt:

    Hier bis zum Neustart keinerlei Fehlermeldungen – letztes Signatur-Update war auf Version 1.373.1550.0!
    Mal schauen, was mich morgen nach dem Hochfahren erwartet – jetzt scheinen sich so langsam die Auswirkungen vom Fehlen (oder die Beschneidung) des Quality-Assurance-Teams bei MS in WINDOWS zu zeigen.
    Ein Gedenken an alle, die mit dem EDGE arbeiten (müssen) und an die IT-Leute, die das wieder "ausbaden" müssen.

  16. Martin sagt:

    Ich habe inzwischen die Definitionen mit der Versionsnummer 1.373.1555.0 erhalten und auch damit tritt der Fehler nicht mehr auf. Ging sogar ohne Reboot – nach dem Hochfahren hatte ich noch die 1.373.1524.0, dann manuell nach Updates gesucht und direkt im Anschluss mal testweise Chrome geöffnet – alles wieder OK, so wie es aussieht!

  17. Bolko sagt:

    gefixt ab: 1.373.1537.0

    answers[.]microsoft[.]com/en-us/protect/forum/all/win32hivezy-removal-notification-every-time-i-run/db598180-4b74-4f19-8c1f-117d688caf91

    Bei mir ist weder Win10, noch Win11, noch ein Antivirus installiert, daher keine Probleme.

  18. Hartmut Vohrer sagt:

    Heute morgen Defender-Update mit Version 1.373.1557.0. Seither keine Nerverei mehr .
    Micro Dank an Kleinsoft :-)
    Grüsse Hartmut Vohrer

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.